[FrancYescO]

ipotizzo comunque ti stia dando errore perchè non hai dato opkg update prima di dare l'install (e lo hai riavviato dall'ultima volta che hai dato opkg update), non mi sembra si stia lamentando ancora della dipendenza da ip

[spako]

Avevi ragione FrancYescO, mi ero dimenticato di fare "opkg update"!
Dopo quello l'installazione ha funzionato e mi è apparsa la scheda VPN nella GUI originale Tiscali! Provata e funziona! 
Poi col mio Pixel Android 11 si disconnette inaspettatamente dopo 1 minuto, ma questo avviene anche se mi connetto a server L2TP/ipsec Mikrotik. Con server Cisco, ho letto in altri forum, il Pixel non si sconnette e funziona bene.
Col vecchio telefono Samsung rimane senza problemi connesso al TG789 in L2TP/ipsec.
Grazie mille FrancYescO, larsen64it, LuKePicci!

Farò qualche altro test ma sembra andare bene.
Magari farò un semplice riassunto per integrare tutti i passaggi per il TG789vac-v2-VANT6 Tiscali, firmware Tiscali.

[FrancYescO]

Forse non ce ne sarà bisogno, provo a mettere nello script di preinst di inserire ip farlocco se trovo installato ip-full, cosi l'installazione fila liscia anche lì

credo che il problema di disconnessione dopo 1min sia causato da qualche magica opzione da trovare..

[LuKePicci]

Io il pixel con android 11 lo connetto con da app strongswan in ikev2 senza problemi, mi pare che supporti anchee L2TP magari prova quella

[spako]

Strongswan non gestisce direttamente L2TP e non ho trovato in android app terze in grado di falro. L'unico modo, che io sappia, è usare l' L2TP integrato di android.
Comunque cercherò info su come usare/configurare strongswan in questo TG789vac V2.

[spako]

Riassumo tutti i passaggi che ho fatto per installare il server L2TP/IPSec nel TG789vac-v2-VANT6 Tiscali, firmware Tiscali.
Ringrazio ancora FrancYescO, larsen64it e LuKePicci per aver reso possibile tutto questo.

Da ricordare che queste procedure non sono approvate da Tiscali, possono invalidare la garanzia, possono compromettere il buon funzionamento e la sicurezza della linea, potrebbero causare la rottura del router/modem.
E' richiesto ovviamente lo sblocco/root del TG789vac v2 Tiscali https://www.ilpuntotecnico.com/forum/index.php/topic,77988.0.html
E' consigliabile mettersi un po’ al riparo facendo il “bank planning” o quantomeno la copia del firmware nel banco 2, e facendo magari un backup della cartella overlay per salvarsi tutte le impostazioni attuali. Io comunque non ho avuto problemi di brick.
Tools utilizzati in questa procedura: putty (o similare), WinSCP (o similare)

Procedura:

1 – Con WinSCP ho aggiunto queste righe al file /etc/opkg.conf

Codice: [Seleziona]

src/gz chaos_calmer_base http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/generic/packages/base
src/gz chaos_calmer_packages http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/generic/packages/packages
src/gz chaos_calmer_luci http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/generic/packages/luci
src/gz chaos_calmer_routing http://archive.openwrt.org/chaos_calmer/15.05/brcm63xx/generic/packages/routing
src/gz chaos_calmer_telephony http://archive.openwrt.org/chaos_calmer/15.05/brcm63xx/generic/packages/telephony
src/gz chaos_calmer_management http://archive.openwrt.org/chaos_calmer/15.05.1/brcm63xx/generic/packages/management

arch all 100
arch brcm63xx 200
arch brcm63xx-tch 300
2 - Con WinSCP ho creato il file /usr/lib/opkg/info/ip.list contenente /etc/iproute2/rt_tables

3 - Con Putty ho lanciato in sequenza i 4 seguenti comandi:

Codice: [Seleziona]

echo -e "Package: ip\nVersion: 1.0\nDepends: \nStatus: install user installed\nArchitecture: brcm63xx-tch\nInstalled-Time: 1489026054\n" >> /usr/lib/opkg/status
opkg update
curl -k https://raw.githubusercontent.com/FrancYescO/sharing_tg789/modgui-vpn/modgui-vpn_1.0-0_all.ipk -o /tmp/modgui-vpn_1.0-0_all.ipk
opkg install /tmp/modgui-vpn_1.0-0_all.ipk
(opkg update mi ha dato il seguente errore ma non è stato un problema per l’installazione vpn: Failed to download http://downloads.openwrt.org/chaos_calmer/15.05.1/brcm63xx-tch/VANTF/packages/Packages.gz, wget returned 1.)

Ricaricando la GUI mi è apparsa la scheda VPN. Li dentro ho quindi personalizzato la “pre-shared key” ed utenti.
Con android da rete mobile mi è stato possibile connettermi in VPN “L2TP/IPSec PSK”.
Nota: non riesco a connettermi in VPN quando sono connesso al router stesso tramite Wi-fi o LAN cablata. Ma questo non è così importante.

[turi79]

Salve vorrei sapere dopo aggiornamento gui come bisogna fare a far ricomparire la scheda vpn grazie

[fabio1999ita]

disinstallandolo e reinstallandolo riappare

[fabio1999ita]

ma devo per caso aprire delle porte perchè a me non si collega alla vpn pur avendolo attivato, oppure non funziona piu' la vpn su gui?

[fedfed]

Ciao!
ho installato la VPN da GUI su DGA4130 e ora sto provando ad accedere da telefono, senza successo.
Facendo da putty un logread -f mi restituisce:

Codice: [Seleziona]

Sun Jan 10 19:30:29 2021 daemon.info odhcpd[3664]: Using a RA lifetime of 0 seconds on br-lan
Sun Jan 10 19:30:29 2021 daemon.notice odhcpd[3664]: Failed to send to ff02::1%br-lan (Permission denied)
So che è un problema di IPV6, come potrei risolvere?

[FrancYescO]

quegli errori non c'entrano nulla con la VPN. Se non hai altro nel log mentre ti connetti (ma ad esempio il restart di ipsec funziona) semplicemente il client non sta proprio raggiungendo il modem (IP pubblico nattato?)

non bisogna aprire alcuna porta dopo l'installazione del pacchetto fa tutto da solo, e funziona su GUI ma come scritto al primo post si perde negli upgrade.

[fedfed]

@FrancYescO hai ragione, mi ero fissato con quegli errori che centrano nulla.
Restart ipsec funziona correttamente. Ho provato anche a tentare di collegarmi in VPN, utilizzando la rete wireless di casa e si, il logread -f si popola.
Giusta la tua deduzione, non ho IP pubblico. Anche se a dire la verità, da GUI avevo inserito un DDNS per altri servizi, però probabilmente devo configurare altro, in modo che funzioni la VPN?
Grazie.

[FrancYescO]

Se non hai un IP pubblico non può mai funzionare (ma così come non dovrebbero andare nemmeno gli altri servizi sotto quel DDNS) devi chiederlo all'ISP o esporre il server in qualche altra maniera fantasiosa

[iw1gea]

Bene. Sempre qui a smadonnare con la VPN su AGTOT iinet 16.3.

Codice: [Seleziona]

[AGTOT: /etc/ipsec.conf]
config setup

conn %default
        keyexchange=ikev1     # se metto ikev2 i log mostrano errore flag 0x08 :-(
        left=(IP_PUB_AGTOT)
        leftsubnet=0.0.0.0/0;::/0
        leftcert=serverCert_agtot.pem
        leftid="C=US, O=TECHNICOLOR, CN=TECHNICOLOR"
        leftauth=pubkey

conn roadwarriorPUBKEY
        right=(IP_EC2_LONDON)
        rightid=(IP_EC2_LONDON)
        rightsubnet=10.5.0.0/24
        rightauth=pubkey
        auto=start

mentre su EC2 in terra d'Albione

Codice: [Seleziona]

[UBUNTU: /etc/ipsec.conf]
config setup

conn %default
        keyexchange=ikev1

conn roadwarriorPUBKEY
        left=(IP_EC2_LONDON)
        leftsubnet=10.6.0.0/24
        leftcert=clientCert_london_ec2.pem
        leftid="C=US, O=TECHNICOLOR, CN=TECHNICOLOR"
        leftauth=pubkey
        right=(IP_EC2_LONDON)
        rightid=(IP_EC2_LONDON)
        rightsubnet=10.5.0.0/24
        rightcert=serverCert_AGTOT.pem
        rightauth=pubkey
        rightid="C=US, O=TECHNICOLOR, CN=TECHNICOLOR"
        auto=add

e ottengo sullo scolapasta

Codice: [Seleziona]

<30>Thu Apr 15 18:02:28  syslog: 00[DMN] Starting IKE charon daemon (strongSwan 5.3.3, Linux 3.4.11-rt19, mips)
<30>Thu Apr 15 18:02:29  syslog: 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'
<30>Thu Apr 15 18:02:29  syslog: 00[CFG]   loaded ca certificate "C=US, O=TECHNICOLOR, CN=TECHNICOLOR" from '/etc/ipsec.d/cacerts/caCert.pem'
<30>Thu Apr 15 18:02:29  syslog: 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'
<30>Thu Apr 15 18:02:29  syslog: 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
<30>Thu Apr 15 18:02:29  syslog: 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'
<30>Thu Apr 15 18:02:29  syslog: 00[CFG] loading crls from '/etc/ipsec.d/crls'
<30>Thu Apr 15 18:02:29  syslog: 00[CFG] loading secrets from '/etc/ipsec.secrets'
<30>Thu Apr 15 18:02:29  syslog: 00[CFG]   loaded RSA private key from '/etc/ipsec.d/private/serverKey_SCOLAPASTA.pem'
<30>Thu Apr 15 18:02:29  syslog: 00[CFG]   loaded EAP secret for C=US, O=TECHNICOLOR, CN=TECHNICOLOR
<30>Thu Apr 15 18:02:29  syslog: 00[CFG] loaded 0 RADIUS server configurations
<30>Thu Apr 15 18:02:29  syslog: 03[CFG] added configuration 'roadwarriorPUBKEY'
<30>Thu Apr 15 18:02:29  syslog: 07[CFG] received stroke: initiate 'roadwarriorPUBKEY'
<30>Thu Apr 15 18:02:29  syslog: 07[IKE] initiating Main Mode IKE_SA roadwarriorPUBKEY[1] to IP_:LONDRA
<30>Thu Apr 15 18:02:29  syslog: 07[ENC] generating ID_PROT request 0 [ SA V V V V ]
<30>Thu Apr 15 18:02:29  syslog: 07[NET] sending packet: from CASA[500] to LONDRA[500] (224 bytes)
<30>Thu Apr 15 18:02:33  syslog: 14[IKE] sending retransmit 1 of request message ID 0, seq 1
<30>Thu Apr 15 18:02:33  syslog: 14[NET] sending packet: from CASA[500] to LONDRA[500] (224 bytes)
<30>Thu Apr 15 18:02:40  syslog: 15[IKE] sending retransmit 2 of request message ID 0, seq 1
<30>Thu Apr 15 18:02:40  syslog: 15[NET] sending packet: from CASA[500] to LONDRA[500] (224 bytes)
<30>Thu Apr 15 18:02:53  syslog: 08[IKE] sending retransmit 3 of request message ID 0, seq 1
<30>Thu Apr 15 18:02:53  syslog: 08[NET] sending packet: from CASA[500] to LONDRA[500] (224 bytes)
<30>Thu Apr 15 18:03:16  syslog: 12[IKE] sending retransmit 4 of request message ID 0, seq 1
<30>Thu Apr 15 18:03:16  syslog: 12[NET] sending packet: from CASA[500] to LONDRA[500] (224 bytes)
<30>Thu Apr 15 18:03:58  syslog: 15[IKE] sending retransmit 5 of request message ID 0, seq 1
<30>Thu Apr 15 18:03:58  syslog: 15[NET] sending packet: from CASA[500] to LONDRA[500] (224 bytes)
<30>Thu Apr 15 18:04:28  syslog: 00[DMN] signal of type SIGINT received. Shutting down
<30>Thu Apr 15 18:04:28  syslog: 00[IKE] destroying IKE_SA in state CONNECTING without notification

Sembra (di nuovo, come per openvpn, openconnect e similia) che gli IPSEC si parlino facendo l'handshake, ma poi quando incapsulano lo scolapasta diventi sordo.
Idee per ovviare?

PS: Sto kernelaccio di IINET 16.3 mi sta letteralmente facendo impazzire.
 

[LuKePicci]

1) sei sul thread del pacchetto gui per mettere un server VPN L2TP  già confezionato su homeware, spostati nel thread di strongswan https://www.ilpuntotecnico.com/forum/index.php/topic,82673.0.html
2) non mi torna quasi nulla del setup che hai messo in piedi, dovresti mettere da entrambi i lati una associazione site2site ma sei partito dal template per una associazione con roadwarrior remoto
3) devi usare ikev2
4) hai scelto l'autenticazione mediante chiave pubblica, ma i certificati li hai rilasciati a delle identità diverse da quelle che hai impostato come id